※ [本文轉錄自 MUSTMIS 看板] 作者: yck0210 (我的心不再流浪) 看板: MUSTMIS 標題: Re: [問題] 中毒？木馬？請大家幫忙找看看 時間: Sun Oct 26 01:53:05 2008 其實這個問題我不知道就算了，我一知道也是讓我徹夜難眠～ 一開始是系上三位老師在處理，後來我也幫忙，晚上學弟也加入幫忙！ 老師們分析了好久，一直在猜測發生的原因，然後再用Sniffer及Ethereal慢慢查～ 最後研判是有一台電腦中毒， 它可以修改路由器的ARP(Address Resolution Protocol) Table～ 我們平常上網的時候，從Client端經Router到Server端的路徑是正常的～ 但是要從Server端下載資料到Client端的時候就有問題了，因為ARP Table被修改了！ 正常應該循原路徑，但是被修改的ARP Table將所有的IP全都指向同一個MAC.... 也就是說在路由器裡面，被修改的ARP Table將所有的IP都指向中毒的電腦網路卡！ 然後中毒的電腦將封包夾帶病毒網站的訊息，再回傳資料給正常的Client端～ 使得同一個Collision Domain(碰撞領域)的Host在上網的時候都會有五個g三個t的問題～ 這跟網路剪刀手(NetCut)的原理類似，不過這對我來說是很新的手法及想法！ 或許哪一天真的有空，可以寫一支這種程式來玩玩，也是滿有趣的～ 其實我是先把知道的結果描述出來，這是在我們找問題的過程中慢慢推測出來的！ 我們在追查的過程裡，針對病毒訊息來搜索，最先找到出問題的MAC位址～ 但是每一次查都會換IP，連使用arp指令也不能修正， 後來我們才發現是有人假冒Gateway！ 在這樣不確定是哪一個IP的情況下，再加上我們沒有Switch的權限， 增加我們追查的困難度～ 最後我們用老方法，就是把教室的Switch先關掉或隔開！ 剩下最後的Switch，大多是老師、Lab、Server在使用，我們用二分搜尋法去尋找～ 找到最後鎖定一間Lab，然後在用Ethereal撈它的封包，發現有大量的ARP封包！ 最後依照網路線的編號查到該網路孔，發現它還接著一台Switch....><" 每拔一條網路線，就發現ARP的封包量增大， 查到最後時，它每秒送出的ARP封包居然上千個！ 打開電腦，發現它累積的封包數還真可怕， 查一下它的網路卡位址，就是我們要找的MAC！ 然後我還發現它沒裝防毒軟體，我只好先把它的網路線拔除後等下週再處理.... 在忙了一個晚上後，將Router重開機，讓它產生新的ARP Table後就正常了！ 整個晚上泡在網路機房處理問題，感覺好像又回到軍中待在機房解決狀況的感覺～ 雖然這次不是我管的Lab出的問題，但讓我有種建立MAC表的想法，這樣查問題才會快！ 以上....雖然過程好累，但是經驗增加了不少，而且kennedy0521的推文也給了我靈感！ 最後，感謝那麼多人幫我測試、給我意見！ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.115.163 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.115.163